Pourquoi le SSI est compatible avec le RGPD ?

2021 a été l’année record des sanctions et mises en demeure prononcées par la CNIL pour non-respect du Règlement Général sur la Protection des Données (RGPD). D’Amazon à Google en passant par Facebook, les acteurs du numérique qui doivent engager de lourdes procédures de mise en conformité pour s’adapter aux normes européennes sont nombreux.

Au cœur de la transition du web 2.0 vers le web 3.0, on trouve la question de la gestion des données personnelles, cheval de bataille des grandes plateformes qui ont développé leurs activités avec la monétisation desdites données. Avec le développement de la technologie blockchain et la popularité grandissante de l’approche Self-Sovereign Identity (SSI), se pose la question de la compatibilité du SSI avec le RGPD.

Revenons sur les principes fondateurs du Self-Sovereign Identity, tels qu’exposés par Christopher Allen, spécialiste de la question, et regardons s’ils sont effectivement alignés avec les objectifs du RGPD. 


Un rappel de ce qu'est le Self-Sovereign Identity

Comme nous l’avons évoqué dans un récent article, le Self-Sovereign Identity ou identité auto-souveraine désigne l’approche où un individu doit pouvoir contrôler gérer son identité de bout en bout et être capable, à tout moment, de révoquer l’accès d’une organisation tierce à ses données personnelles

Cette définition est simple et intuitive : on ne devrait pas avoir à partager plus d’informations que nécessaire pour accéder à un service. 

Pourtant, c’est l’inverse qui se produit, que ce soit dans le monde physique comme dans le monde virtuel : 

  • Dans la “vraie vie”, si vous souhaitez louer un véhicule chez un loueur, il vous suffit de présenter votre permis de conduire qui justifie de votre capacité de conduire… Toutefois, en présentant votre permis de conduire, le loueur peut également connaître votre âge puisque votre date de naissance y figure.
  • Dans le monde virtuel, lorsque vous créez un compte sur un réseau social, vous devez fournir une adresse email, puis ensuite créer un nom d’utilisateur et un mot de passe… mais vous devez aussi accepter les conditions générales d’utilisation qui autorisent les plateformes à utiliser vos données de navigation, les contenus des messages que vous envoyez et les publications avec lesquelles vous interagissez pour vous présenter des contenus publicitaires.


Avec le Self-Sovereign Identity, puisque c’est vous qui contrôlez votre identité, vous gérez qui à accès à vos données personnelles et, surtout, quelles sont les données personnelles que vous acceptez de divulguer.


Quelles applications pour le Self-Sovereign Identity ?

À quoi ressemblerait les expériences de vie vues ci-dessus comme la location d'un véhicule ou encore la création d'un compte sur un réseau social ? Pour comprendre le schéma ci-dessous, il convient de rappeler les rôles suivants :

  1. L'Émetteur désigne l'acteur qui signe électroniquement les attestations et les délivre au titulaire. Il peut s'agir de l'Etat puisque que c'est lui qui délivre les pièces d'identité certifiés.
  2. L'Utilisateur désigne la personne qui est titulaire d'une identité et qui est à l'origine d'une demande d'accès à un service. Dans l'approche SSI, toute relation s'établit avec l'utilisateur au centre.
  3. Le Vérificateur désigne l'acteur qui vérifie l'authenticité des pièces justificatives de l'utilisateur pour accéder à un service.

Le triangle de la confiance est au coeur de l'identité auto-souveraine

Voici donc à quoi ressembleraient les expériences de vie que nous avons vu ci-dessus :


1. L’Émetteur délivre le justificatif d’identité à l’utilisateur - un permis de conduire ou une carte d’identité par exemple - et ancre les attributs de l’utilisateur dans un registre de preuves.

2. L’Utilisateur stocke le justificatif d’identité et les attributs qui y sont associés dans son wallet / portefeuille numérique.

3. L’Utilisateur souhaite accéder à un service sans avoir à divulguer plus d’informations que nécessaire (que ce soit pour la création d’un compte sur un réseau social ou pour la location d’un véhicule). Avec son wallet, l’Utilisateur présente les attributs dont le Vérificateur a besoin et rien de plus. Pour le loueur de véhicule, il s’agit simplement de prouver que la personne a la capacité et l’autorisation de conduire. Pour le réseau social, il s’agit simplement de prouver que la personne existe bien. Il présente donc une preuve de son éligibilité à accéder au service proposé par le Vérificateur.

4. Le Vérificateur va s’assurer de l’authenticité des données fournies par l’utilisateur dans le registre de preuves.

Nous le voyons donc, l’approche Self-Sovereign Identity est donc une petite révolution puisqu’elle permet à un individu d’accéder à n’importe quel service sans divulguer plus d’information que nécessaire. D’autres cas d’usage sont envisagés et promettent de transformer notre rapport à la santé, au monde bancaire ou encore aux institutions publiques (nous en évoquons certains dans notre livre blanc sur l’identité décentralisée)

Cela est rendu possible grâce au principe de divulgation sélective - je ne dévoile que ce dont une entreprise a besoin pour me donner accès à un service - et grâce au Zero-Knowledge Proof (preuve à divulgation nulle de connaissance) qui permet de confirmer une donnée sans avoir à la divulguer (il s’agirait, par exemple, de prouver que j’ai bien 18 ans sans divulguer ma date de naissance). 

Nous étudierons ces deux concepts plus en détail dans un prochain article de blog. 


Les bases posées, intéressons-nous maintenant en quoi le Self-Sovereign Identity peut être compatible avec le RGPD.

En quoi le Self-Sovereign Identity est-il compatible avec le RGPD ? 

Christopher Allen, entrepreneur engagé sur les questions de souveraineté des données personnelles, a exposé les 10 principes fondamentaux du Self-Sovereign Identity dans un article de blog qui continue de faire référence. Bien qu’il y ait plusieurs façons d’appliquer le SSI, on peut considérer que le respect de ces règles est une condition sine qua non pour une véritable approche auto-souveraine de l’identité. 

Regardons en détail les articles du RGPD et identifions les parties qui s'appliquent à ces principes.

 

  • Existence : les utilisateurs doivent avoir une existence indépendante | le RGPD “établit des règles relatives à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et des règles relatives à la libre circulation de ces données.” (article 2)
  • Contrôle : les utilisateurs doivent contrôler leur identité | “Les personnes physiques devraient avoir le contrôle des données à caractère personnel les concernant.” (considérant §7
  • Accès : les utilisateurs doivent avoir accès à leurs propres données | “La personne concernée a le droit d'obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu'elles le sont, l'accès auxdites données à caractère personnel” (article 15)
  • Transparence : les systèmes et les algorithmes doivent être transparents | “Les données à caractère personnel doivent être traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence)” (article 5a)
  • Persistance : les identités doivent avoir une longue durée de vie tout en respectant le droit à la suppression | “Les données à caractère personnelle doivent être conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées” (Article 5e)
  • Portabilité : les informations et les services relatifs à l'identité doivent pouvoir faire l’objet d’une portabilité | “Les personnes concernées ont le droit de recevoir les données à caractère personnel les concernant qu'elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et ont le droit de transmettre ces données à un autre responsable du traitement” (article 20)
  • Interopérabilité : Les identités doivent être aussi largement utilisables que possible | “Pour renforcer encore le contrôle qu'elles exercent sur leurs propres données, les personnes concernées devraient aussi avoir le droit (...) de recevoir les données à caractère personnel les concernant (...) dans un format structuré, couramment utilisé, lisible par machine et interopérable, et de les transmettre à un autre responsable du traitement.”
  • Consentement : Les utilisateurs doivent consentir à l'utilisation de leur identité | “Le traitement n'est licite que si, et dans la mesure où (...) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques” (Article 5a)
  • Minimisation : La divulgation des demandes doit être réduite au minimum | “Les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données)” (Article 5c)
  • Protection : Les droits des utilisateurs doivent être protégés et prévaloir sur les besoins du réseau | C'est la raison d'être du RGPD.

Voici un petit tableau récapitulatif pour synthétiser.

Les 10 principes fondamentaux de l'identité décentralisée selon Christopher Allen

Vers le web3 avec le SSI


Avec la transition vers l’écosystème web 3.0, le développement des registres distribués (la technologie blockchain) et l’environnement réglementaire qui contraint les acteurs du numérique à privilégier le privacy by design, l’approche du SSI va devenir le nouveau standard que ce soit pour l’entrée en relation client, la gestion des identités numériques ou encore la mise en conformité des processus administratifs dans les entreprises et institutions.

C’est la raison pour laquelle il est indispensable pour les entreprises de prendre à bras le corps la question de la gestion des données personnelles et d’explorer les solutions SSI, que ce soit pour se mettre en conformité avec le RGPD ou encore pour simplifier l’entrée en relation. 


Contactez-nous pour savoir comment Archipels peut vous accompagner sur les questions qui touchent au SSI.


En savoir plus sur la solution Archipels
Je veux en discuter !

NOs 6 Derniers articles du blog